El Comité de Seguridad según el ENS – Qué Es y Cómo Crearlo

by | ISO 27001 | 0 comments

Imagen principal Comité de Seguridad según ENS

Crear un Comité de Seguridad según el ENS es algo necesario si quieres cumplir con el Esquema Nacional de Seguridad, pero:

  • ¿qué roles deben conformar el comité de seguridad?
  • ¿cómo se debe constituir formalmente el comité de seguridad?
  • ¿y qué tareas le corresponden?

Esto es lo que voy a comentarte en este post.

Durante este artículo te haré referencia a los artículos del ENS que tratan sobre el comité de seguridad y una guía del CCN-CERT (Centro Criptológico Nacional) para que compruebes la información que te estoy aportando.

Además, te expondré algunos ejemplos prácticos que te ayudarán a entender cómo aplicar estos conceptos en tu organización.

Gráficamente, esto es todo lo que te voy a comentar:

Aspectos clave del Comité de Seguridad de la Información según ENS

Sin más empezamos.

Contents

¿Por qué Crear un Comité de Seguridad Según el ENS?

El primer motivo para formar un Comité de Seguridad está en la necesidad de gestionar de forma coordinada y estratégica todas las actividades de protección de la información, como indica el Esquema Nacional de Seguridad.

Cualquier asunto que se gestione en un grupo de trabajo en lugar de forma individual tendrá más puntos de vista, mejores ideas para abordar cualquier situación y llegar a un mismo objetivo común.

La importancia del Comité de Seguridad en el marco normativo

Según el Real Decreto 311/2022, en el Artículo 12.1 d) se indica que la política de seguridad debe incluir la definición de la “estructura y composición del comité o los comités para la gestión y coordinación de la seguridad”.

Esto implica que, sin importar el tamaño de la organización, es esencial contar con un órgano formal que centralice la toma de decisiones y la supervisión de la estrategia de seguridad de la información.

La Guía CCN-STIC-801 profundiza en las responsabilidades que debe asumir el Comité de Seguridad, resaltando que dicho comité es el encargado de:

  • coordinar los esfuerzos,
  • asegurar la implantación de los controles
  • revisar periódicamente el cumplimiento de la política de seguridad.

Si creas un comité de seguridad comprometido, te garantizas que todas las áreas de tu organización (técnicas, humanas, organizativas y jurídicas) estén alineadas en un mismo objetivo: proteger la información y asegurar la continuidad.

Beneficios de contar con un Comité de Seguridad

Algunos beneficios de formar un comité de seguridad de la información en tu organización son:

  • Coordinación Integral: Al centralizar la toma de decisiones, logras una mayor coherencia en la aplicación de las medidas de seguridad.
  • Detección y Respuesta Eficiente: Con un órgano que supervise y audite de forma continua, podrás detectar incidentes de forma temprana y coordinar respuestas adecuadas.
  • Optimización de Recursos: Un Comité te permitirá priorizar inversiones en seguridad basándote en el análisis de riesgos y relacionado con el coste vs beneficio.
  • Cumplimiento Normativo: No solo cumplirás con el ENS sino que también podrás detectar posibles incumplimientos en otras leyes como la LOPD, RGPD y otras.

Cada uno de estos beneficios se traduce en mayor seguridad de la información para la organización, genera más confianza en empleados, clientes y otras partes interesadas.

Quién debe Componer el Comité de Seguridad según el ENS

El Esquema Nacional de Seguridad establece que el Comité de Seguridad cuente con un número de personas y roles que abarquen diversas áreas para cubrir todos los aspectos de la protección de la información.

Estas personas y roles están descritos en el artículo 11 del ENS y son:

  • Responsable de seguridad
  • Responsable de la información.
  • Responsable del servicio.
  • Responsable del sistema.

Sin embargo, esto no es viable en ciertas ocasiones para ciertas organizaciones pequeñas.

Por lo tanto, te voy a exponer:

  • La estructura ideal según el ENS para grandes organizaciones.
  • Una estructura mínima viable para pequeñas organizaciones.

Estructura Ideal del Comité de Seguridad

El Real Decreto 311/2022 (Art. 12.1 d) y el Artículo 11 recalcan la necesidad de diferenciar roles específicos en materia de seguridad de la información.

Como te describí antes, en una estructura ideal, se incluyen los siguientes roles:

  • Responsable de la Información: Encargado de definir la clasificación y los requisitos específicos de cada dato.
  • Responsable del Servicio: El rol que determina las necesidades y requisitos para la prestación de servicios relacionados con la información.
  • Responsable de la Seguridad: El encargado de establecer y supervisar las medidas de seguridad a nivel estratégico y de implementación.
  • Responsable del Sistema: El rol que se ocupa de la implementación técnica y el mantenimiento de los sistemas que dan soporte a la seguridad de los sistemas de información.

Estos roles, como ves, están diseñados para garantizar que cada aspecto –técnico, operativo, organizativo y estratégico– se ejecuten de forma específica.

Bien, pero te estarás preguntando… bueno mi organización no tiene recursos ni tamaño como para tener a todos estos roles, ¿qué puedo hacer para cumplir con el ENS y conformar un Comité de Seguridad?

Esto es lo que te voy a comentar a continuación.

Estructura Mínima para Organizaciones Pequeñas en la conformación del Comité de Seguridad

En pequeñas empresas o instituciones, puede ser inviable contar con una estructura completa y diferenciada de estos cuatro roles.

En estos casos, es posible combinar funciones, siempre que se establezcan controles compensatorios.

¿Y qué dice el ENS sobre ello?

En el texto del Esquema Nacional de Seguridad no se establece de forma explícita que se puedan combinar roles en organizaciones pequeñas, pero tampoco se prohíbe expresamente la acumulación de roles, excepto el siguiente:

“… la responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la explotación de los sistemas de información concernidos”. Este es el artículo 11.2 que tiene como título “Diferenciación de responsabilidades”.

Por lo tanto, lo que sí deja claro es que el Responsable de Seguridad debe ser una persona distinta del Responsable del Servicio.

La propuesta mínima es la siguiente:

  • Responsable de la Seguridad Integral:
    Combina las funciones de Responsable de la Seguridad y Responsable del Sistema.

    • Funciones: Define, supervisa e implementa las medidas técnicas y operativas de seguridad.
    • Control: Se recomienda establecer auditorías externas periódicas para compensar la acumulación de funciones.
  • Responsable de Sistemas y Operación:
    Agrupa las funciones de Responsable de la Información y del Servicio.

    • Funciones: mantiene la infraestructura tecnológica, da respuesta ante incidentes de seguridad, aplica medidas de seguridad definidas por el Responsable de Seguridad Integral.
    • Control: Es vital que este rol tenga restricciones en cuanto a la toma de decisiones técnicas para evitar conflictos con el Responsable de la Seguridad Integral.

He escribo un artículo para explicar el porqué de esta combinación de roles y los controles compensatorios que debes de llevar a cabo para cumplir con el principio de concentración de funciones.
El artículo es este Responsables según el ENS – Tareas y Responsabilidades

Cómo Crear Formalmente un Comité de Seguridad

La creación formal del Comité de Seguridad requiere que sigas una serie de pasos para asegurarte de que se crea legítimamente y documentalmente.

Te lo detallo a continuación

Proceso de Creación del Comité

Paso 1: Convocatoria y Diseño del Comité

Desde dirección se debe emitir una convocatoria formal para designar a los posibles integrantes del Comité de Seguridad.

Si tu organización es grande y tiene recursos, en esa invitación incluye a representantes de las diferentes áreas afectadas por la seguridad de la información.

Si tu organización es pequeña y tiene pocos recursos, en esa invitación deberá ir dirigida a los roles que te indiqué previamente: “responsable de seguridad integral” y “responsable de la información y del servicio”.

En dicha convocatoria puedes hacer alusión a la definición de los roles que compondrán el comité de seguridad.

Por ejemplo: Una convocatoria interna podría anunciar:
“Se convoca a las personas adjuntas a este comunicado para la creación y conformación del Comité de Seguridad de la Información, con el propósito de coordinar y supervisar la implementación de la política de seguridad de acuerdo con el ENS.

Se designarán los siguientes roles: Responsable de la Seguridad Integral y Responsable de la Gestión de la Información y del Servicio”

Paso 2: Elaboración del Acta Constitutiva

Una vez que se lleve a cabo la reunión, deberías de redactar un acta que recoja:

  • La fecha de celebración.
  • Los roles asignados,
  • las funciones específicas,
  • la propuesta de trabajo para el futuro.

En el acta menciona expresamente la fuente normativa (ENS, Art. 12.1 d) y los requisitos mínimos del Art. 12.6 que determinan su composición y funcionamiento.

Por ejemplo, un extracto del acta podría ser el siguiente:
“En [lugar], a [fecha],

se constituye el Comité de Seguridad, conformado por [nombres y cargos].

Este comité se constituye en cumplimiento del Artículo 12.1 d) del Real Decreto 311/2022 y conforme a los requisitos mínimos establecidos en el Artículo 12.6, con el objetivo de coordinar la gestión y supervisión de las medidas de seguridad de la información.

Los roles de seguridad que conforman este comité y su responsabilidad serán los siguientes:

Nombre_del_rol: funciones_y_responsabilidades.

Nombre_del_rol: funciones_y_responsabilidades.

El Comité de Seguridad se reunirá de forma trimestral, siguiendo un protocolo de trabajo que contemple la revisión de los registros de incidentes, la actualización de los análisis de riesgos y la evaluación de las medidas implementadas.

Las decisiones se documentarán en actas que serán archivadas en el repositorio de seguridad de la organización.”

Paso 3: Validación y Aprobación

Una vez redactado el acta, debe ser revisada y aprobada por la dirección general o el órgano que tenga competencias para ello.

Todos los integrantes de la reunión deberán firmar el acta y se difundir entre el resto de los empleados e integrarse dentro del sistema de gestión documental de seguridad de la información.

Responsabilidad de los Integrantes y Tareas del Comité de Seguridad

Tal y como se indica en el Esquema Nacional de Seguridad, el Comité de Seguridad es el órgano encargado de coordinar, supervisar y garantizar la implementación de la política de seguridad.

Y para que esto no se quede sin definir y descrito de forma genérica, deberás de describir claramente para cada integrante qué debe hacer y cómo colaborar en la protección de la información.

Responsabilidades del Comité

De forma general, el Comité es responsable de asegurar que la política de seguridad se implemente y se mantenga actualizada.

El propósito y las responsabilidades incluyen la supervisión de todos los aspectos que afectan la seguridad de la organización, desde la gestión de riesgos hasta la respuesta ante incidentes.

Algunas de las tareas específicas son:

  • Revisión Periódica: Evaluar periódicamente los controles existentes y la eficacia de la política mediante auditorías internas y, si es necesario, externas.
  • Actualización de la Política: Proponer y aprobar modificaciones a la política de seguridad que respondan a nuevos riesgos o cambios tecnológicos.
  • Coordinación Interdepartamental: Facilitar la comunicación entre los distintos departamentos para asegurar que los procesos y medidas de seguridad se aplican de manera homogénea.
  • Formación y Concienciación: Organizar y supervisar programas de formación y campañas de concienciación para todos los empleados, reforzando la cultura de seguridad.
  • Gestión de Incidentes: Establecer procedimientos para la detección, respuesta y recuperación ante incidentes de seguridad, y revisar los incidentes ocurridos para aprender y mejorar las medidas.
  • Control de la Documentación: Asegurar la correcta estructuración, gestión y control de acceso a toda la documentación de seguridad, siguiendo lo establecido en el ENS (Art. 12.1 e).

Pero como te he comentado, lo que debes hacer es definir claramente por cada integrante del comité cuáles son las responsabilidades y tareas que debe llevar a cabo.

Si quieres saber con más detalle estas responsabilidades y funciones, lee este artículo que he preparado con mucho detalle.

Bueno, espero que hayas aprendido más sobre el Comité de Seguridad según el ENS.

Fecha: 14 abril 2025

Fuente Bibliográfica: Elaboración propia tras lectura del Real Decreto 311/2022 y la guía CCN-STIC-801

Fuente imagen principal: Freepik

Submit a Comment

Your email address will not be published. Required fields are marked *

Ive Consultores te informa que los datos de carácter personal que me proporciones rellenando el presente formulario serán tratados por Iván Torres como responsable de esta web.

Finalidad de la recogida y tratamiento de los datos personales: gestión de los comentarios que realizas en este blog.

Legitimación: Consentimiento del interesado. El hecho de que no introduzcas los datos de carácter personal que aparecen en el formulario como obligatorios podrá tener como consecuencia que no atender pueda tu solicitud.

Derechos de acceso: podrás rectificar, limitar y suprimir los datos en ivan.torres@iveconsultores.com así como el derecho a presentar una reclamación ante una autoridad de control.

Información adicional: la encontrars en mi página web: http://www.iveconsultores.com, así como consultar mi política de privacidad.